比如設計api的時候，存在2個合法的調用方，比如a和b；api分為2類：部分api需要獲取到調用方的身份信息（只是拿身份信息作為輸入，比如插表或者查詢條件），部分不需要a調用全部api的時候，因為a是在某網站里面調用（ajax），所以登錄了，能獲取到身份信息。b直接調用不需要用戶信息的api（但是這些api也會被a調用） 問題。如果我做個攔截器，攔截所有api請求（限制條件為，必須登錄才能調用），那么對b是不合理的。因為b調用的api不需要身份信息如果我不攔截請求，那么所有api對所有的人都是public的了，任何人都可以調用不需要身份信息的api，存在安全風險。 所以想問下如何處理？ 看了下Jwt，好像不太適合應用場景